Pred niekoľkými týždňami zdieľame tu na blogu novinky, ktoré šifrujeme (nezisková certifikačná autorita kontrolovaná komunitou, ktorá poskytuje certifikáty zadarmo všetkým) varoval používateľov pred bezprostrednou zmenou v generovaní podpisov, čo by spôsobilo problémy a predovšetkým stratu kompatibility s približne 33% používaných zariadení so systémom Android.
A to preto, lebo ohlasoval prechod na generovanie podpisov iba pomocou svojho koreňového certifikátu bez použitia certifikátu krížovo podpísaného certifikačnou autoritou IdenTrust.
Bolo spomenuté, že od 11. januára 2021 dôjde k zmenám API Let's Encrypt a štandardne budú zákazníci ACME dostávať certifikáty ISRG Root X1 bez krížového podpisu.
Nový typ koreňového certifikátu Let's Encrypt bol spomenutý ako kompatibilný so všetkými modernými prehliadačmi, je však rozpoznaný až od verzie Android 7.1.1, ktorá vyšla na konci roka 2016 (ak sa chcete o novinkách dozvedieť viac, môžete sa poradiť publikácie Na nasledujúcom odkaze).
Ale teraz Let's Encrypt oznámil, že plán bol prepracovaný a kompatibilita so staršími zariadeniami so systémom Android bude trvať ešte najmenej tri roky.
Zmena API naplánované na 11. januára, čo znamená prechod na štandardné vydávanie certifikátov certifikovaných iba koreňovým certifikátom ISRG Root X1, bez krížového podpisu, bol odložený na jún 2021.
S potešením oznamujeme, že sme vyvinuli spôsob, ako si môžu staršie zariadenia so systémom Android zachovať svoju schopnosť navštevovať weby, ktoré používajú certifikáty Let's Encrypt aj po uplynutí doby platnosti našich sprostredkovateľov podpísaných krížom. V januári už neplánujeme žiadne zmeny, ktoré by mohli spôsobiť problémy s kompatibilitou predplatiteľov Let's Encrypt.
Súčasne bolo rozhodnuté ako možnosť ponúknuť možnosť požiadať o alternatívne osvedčenie, certifikované podľa starej schémy krížového overovania a udržiavania kompatibility so zariadeniami v úložisku koreňových certifikátov, do ktorých nebol pridaný certifikát Let's Encrypt.
Alternatívny certifikát bude vygenerovaný koncom januára alebo začiatkom februára 2021 v rámci dodatočnej dohody s certifikačnou autoritou IdenTrust. Okrem koreňového certifikátu ISRG Root X1 patriaceho k Let's Encrypt bude tento certifikát krížovo podpísaný pomocou certifikátu IdenTrust DST Root CA X3.
Krížový podpis bude platiť tri roky, čo je menej ako doba platnosti primárneho koreňového certifikátu ISRG Root X1.
Pretože platnosť krížového podpisu vyprší pred podpisom s hlavným koreňovým certifikátom Let's Encrypt, problémy podobné incidentu s koreňovým certifikátom AddTrust použitým na certifikáty krížového podpisu od certifikačnej autority Sectigo (Comodo ).
Prehliadače správne spracovali vypršanie platnosti krížového certifikátu AddTrust, ale to spôsobilo obrovské pády na systémoch OpenSSL a GnuTLS, aj keď hlavný koreňový certifikát Comodo bol stále platný a reťaz dôvery s aktuálnym certifikátom pretrvávala.
Aby zabezpečili, že nový certifikát Let's Encrypt nevytvára podobné problémy s kompatibilitou, majú certifikačné autority IdenTrust a Let's Encrypt v úmysle skontrolovať implementovanú schému pomocou externých audítorov.
Pripomíname, že koreňový certifikát vlastnený spoločnosťou Let's Encrypt je kompatibilný so všetkými modernými prehľadávačmi, ale je rozpoznaný iba ako platforma Android 7.1.1, ktorá bola vydaná na konci roka 2016. Podľa dostupných štatistík iba 66,2% všetky zariadenia s Androidom používajú Android 7.1 a novšie verzie.
33,8% používaných zariadení so systémom Android nemá údaje z koreňového certifikátu Let's Encrypt, to znamená, že na ďalšie správne fungovanie vyžaduje dodatočne podpísaný certifikát s koreňovým certifikátom kompatibilným s predchádzajúcimi verziami systému Android. Ak sa na týchto zariadeniach pokúsite otvoriť weby podpísané iba koreňovým certifikátom Let's Encrypt, zobrazí sa chyba.
konečne, ak máte záujem dozvedieť sa o tom viac Podrobnosti o novinkách si môžete pozrieť v pôvodnej poznámke, ku ktorej máte prístup na nasledujúci odkaz.